Uprawnienia NTFS do plików i folderów, Lista kontroli dostępu ACL
Lista kontroli dostępu ACL (Access Contro1 List) to zbiór danych powiązanych z plikiem, folderem lub innym zasobem, definiujących uprawnienia użytkowników lub grup uzyskujących dostęp do tego zasobu. Na dyskach NTFS każdy z plików ma swoją własną listę kontroli dostępu, w której przechowywane są wszystkie informacje związane z zabezpieczeniami dotyczącymi danego zbioru. Tego rodzaju zabezpieczenia są jedną z najważniejszych funkcji NTFS. Niestety ACL nie jest obsługiwane przez system FAT i jeśli dane zostaną przeniesione na partycję FAT, to wszystkie zabezpieczenia zostają zignorowane, co spowoduje ich utratę.
Uprawniania NTFS i listy kontroli dostępu (ACL)
Uprawnienia na poziomie udostępniania i na poziomie systemu plików NTFS bazują na listach kontroli dostępu. Pozwalają one na bardzo szczegółowe zdefiniowanie uprawnień do poszczególnych obiektów (np. plików, folderów, udostępnień). Ta szczegółowość wynika z dwu powodów:
dużej liczby rodzajów i szczegółowości uprawnień, jakie można przypisać na poziomie systemu plików NTFS,
uprawnienia można nadawać (Zezwalaj), ale i odbierać (Odmów). Zaznaczenie pola Zezwalaj nadaje użytkownikowi (grupie) dane uprawnienia. Uprawnienia każdego użytkownika do danego obiektu są sumą uprawnień wynikających z jego praw oraz z praw grup, do których on przynależy. Zaznaczenie ma zastosowanie wtedy, gdy użytkownikowi chcemy zabrać prawo do danego obiektu, mimo że posiada prawa wynikające z przynależności do danej grupy użytkowników (jest to nadanie wyjątku Odmów od reguły Zezwalaj).
Kolejną cechą ACL jest to, że uprawnienia do danego obiektu mogą być przypisywane wielu użytkownikom i grupom i każdy z nich może mieć inne prawa, zupełnie nie powiązane z innymi użytkownikami lub grupami.
Uprawnienia udostępniania
Uprawnienia do udziału (udostępnienia) sieciowego są wypadkową (różnicą) wynikającą z uprawnień nadanych na poziomie udziału oraz na poziomie systemu plików NTFS. Zatem zawsze zostaną zastosowane uprawnienia bardziej rygorystyczne. Jeśli używamy partycji FAT, to jedyną metodą nadawania uprawnień są uprawnienia na poziomie udziału.Udostępniając zasób, możemy każdemu użytkownikowi lub grupie przydzielić następujące uprawnienia:
Pełna kontrola - użytkownik z takimi prawami ma pełną swobodę działania. Może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące oraz zmieniać uprawnienia i przejmować na własność. Uprawnienie to należy nadawać ze szczególną ostrożności
Zmiana - różni się od Pełnej kontroli brakiem prawa do zmiany uprawnień i przejmowania na własność, czyli użytkownik może tylko tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące.
- Odczyt - użytkownik posiada jedynie prawo do odczytywania plików (w tym ich uruchamiania), nie może tworzyć nowych plików i usuwać ani modyfikować już istniejących.
Uprawnienia systemu plików NTFS
Prawa dostępu mogą być nadawane dla całego dysku, wybranego folderu lub nawet pojedynczego pliku. Każdy plik lub folder przechowywany na dysku NTFS jest własnością jakiegoś użytkownika. Zazwyczaj tego, który go utworzył. Ma on jednak możliwość przekazania uprawnień do niego innym użytkownikom. Jeżeli posiadamy odpowiednie uprawnienia do tworzenia plików i folderów, to ich tworzenie niczym się nie różni od tworzenia ich na dyskach FAT. Uprawnienia systemu plików NTFS pozwalają na precyzyjne określenie prawa do plików i folderów w systemie Windows. Ze względu na swą precyzję i dużą liczbę możliwych uprawnień, zostały one pogrupowane w celu szybkiego dostępu. I właśnie te grupy uprawnień widzimy po wyborze z menu kontekstowego pliku lub folderu Własciwości i następnie zakładki Zabezpieczenia. Oczywiście jeśli chcemy precyzyjnie określić, co komu wolno lub nie, wybieramy zakładkę Zawansowane.
Tabela uprawnień NTFS
Poniższa tabela przedstawia poszczególne uprawnienia i przypisanie ich do konkretnych grup uprawnień. Opis dotyczy list ACL systemu plików NTFS z Windows 2000/XP/2003.
Tabela Uprawnienia w systemie NTFS
Uprawnienia specjalne |
Pełna kontrola |
Modyfikacja |
Zapis i wykonanie |
Wyświetlanie zawartości folderu |
Odczyt |
Zapis |
Przechodzenie przez folder/Wykonywanie pliku |
V |
V |
V |
V |
|
|
Wyświetlanie zawartości folderu/Odczyt danych |
V |
V |
V |
V |
V |
|
Odczyt atrybutów |
V |
V |
V |
V |
V |
|
Odczyt atrybutów rozszerzonych |
V |
V |
V |
V |
V |
|
Tworzenie plików/ Zapis danych |
V |
V |
V |
|
|
V |
Tworzenie folderów/ Dołączanie danych |
V |
V |
V |
|
|
V |
Zapis atrybutów |
V |
V |
V |
|
|
V |
Zapis atrybutów rozszerzonych |
V |
V |
V |
|
|
V |
Usuwanie podfolderów i plików |
V |
|
|
|
|
|
Usuwanie |
V |
V |
|
|
|
|
Odczyt uprawnień |
V |
V |
V |
V |
V |
|
Zmiana uprawnień |
V |
|
|
|
|
|
Przejęcie na własność |
V |
|
|
|
|
|
W pracy z obsługą dysków sformatowanych w NTFS interfejs systemu Windows XP ukrywa przed użytkownikiem nowe możliwości zarządzania plikami i folderami. Wynika to tylko i wyłącznie z troski o użytkowników, którzy są przyzwyczajeni do pracy z systemem FAT Aby w pełni korzystać z możliwości oferowanych przez system NTFS, należy zmienić domyślne ustawienia systemu Windows XP. Aby to zrobić, należy:
Otworzyć Panel sterowania.
Wybrać Narzędzia/Opcje Folderów i na karcie Widok wyczyścić pole wyboru Użyj prostego udostępniania plików i folderów .
Kliknąć OK i zamknąć Panel sterowania.
Po zmianie domyślnego widoku folderów i po kliknięciu prawym przyciskiem myszy na dowolnym dysku NTFS, folderze lub pliku przechowywanym na dysku NTFS z menu kontekstowego dostępna jest zakładka Zabezpieczenia. Gdy ją wybierzemy, widzimy listę grup i użytkowników, a w jej dolnej części listę uprawnień nadanych lub odebranych poszczególnym grupom lub użytkownikom.